Considerações de planejamento de integração do datacenter para sistemas integrados de Hub Azure Stack

Se estiver interessado em um sistema integrado de Hub Azure Stack, você deve entender as principais considerações de planejamento sobre a implantação e como o sistema se encaixa em seu datacenter. Este artigo fornece uma visão geral de alto nível dessas considerações para ajudá-lo a tomar decisões de infraestrutura importantes para seus sistemas integrados de Hub Azure Stack. Uma compreensão dessas considerações ajuda ao trabalhar com seu fornecedor de hardware OEM enquanto eles implantam Azure Stack Hub em seu datacenter.

Observação

Os sistemas integrados de Hub Azure Stack só podem ser comprados de fornecedores de hardware autorizados.

Para implantar Azure Stack Hub, você precisa fornecer informações de planejamento ao seu provedor de soluções antes que a implantação comece a ajudar o processo a ir de maneira rápida e tranqüila. As informações exigiam intervalos entre informações de rede, segurança e identidade com muitas decisões importantes que podem exigir conhecimento de muitas áreas e tomadores de decisões diferentes. Você precisará de pessoas de várias equipes em sua organização para garantir que você tenha todas as informações necessárias prontas antes da implantação. Ele pode ajudar a se comunicar com seu fornecedor de hardware ao coletar essas informações porque elas podem ter conselhos úteis.

Ao pesquisar e coletar as informações necessárias, talvez seja necessário fazer algumas alterações de configuração de pré-implantação em seu ambiente de rede. Essas alterações podem incluir a reserva de espaços de endereço IP para a solução de Hub de Azure Stack, bem como a configuração de roteadores, comutadores e firewalls para se preparar para a conectividade com as novas opções de solução de Hub de Azure Stack. Certifique-se de que a área de assunto especialista foi alinhada para ajudá-lo em seu planejamento.

Considerações de planejamento de capacidade

Ao avaliar uma solução de Hub de Azure Stack para aquisição, você faz opções de configuração de hardware que têm um impacto direto na capacidade geral da solução de Hub de Azure Stack. Isso inclui as opções clássicas de CPU, densidade de memória, configuração de armazenamento e escala geral da solução (por exemplo, número de servidores). Ao contrário de uma solução de virtualização tradicional, a aritmética simples desses componentes para determinar a capacidade utilizável não se aplica. O primeiro motivo é que Azure Stack Hub é arquitetado para hospedar os componentes de infraestrutura ou de gerenciamento dentro da própria solução. O segundo motivo é que parte da capacidade da solução é reservada para dar suporte à resiliência atualizando o software da solução de forma a minimizar a interrupção de cargas de trabalho de locatário.

A Azure Stack planilha do planejador de capacidade do Hub ajuda você a tomar decisões informadas para planejar a capacidade de duas maneiras. A primeira é selecionar uma oferta de hardware e tentar se ajustar a uma combinação de recursos. A segunda é definir a carga de trabalho que Azure Stack hub deve executar para exibir as SKUs de hardware disponíveis que podem dar suporte a ela. Por fim, a planilha se destina como um guia para ajudar a tomar decisões relacionadas ao planejamento e à configuração do Hub Azure Stack.

A planilha não se destina a servir como substituto para sua própria investigação e análise. A Microsoft não faz nenhuma declaração ou garantia, expressa ou implícita, em relação às informações fornecidas na planilha.

Considerações de gerenciamento

O Hub de Azure Stack é um sistema lacrado, onde a infraestrutura é bloqueada de uma perspectiva de permissões e rede. As ACLs (listas de controle de acesso) de rede são aplicadas para bloquear todo o tráfego de entrada não autorizado e todas as comunicações desnecessárias entre os componentes da infraestrutura. Esse sistema torna difícil para usuários não autorizados acessarem o sistema.

Para gerenciamento diário e operações, não há nenhum acesso de administrador irrestrito à infraestrutura. Os operadores de Hub de Azure Stack devem gerenciar o sistema por meio do portal do administrador ou por meio de Azure Resource Manager (por meio do PowerShell ou da API REST). Não há acesso ao sistema por outras ferramentas de gerenciamento, como o Gerenciador do Hyper-V ou Gerenciador de Cluster de Failover. Para ajudar a proteger o sistema, o software de terceiros (por exemplo, agentes) não pode ser instalado dentro dos componentes da infraestrutura do hub de Azure Stack. A interoperabilidade com gerenciamento externo e software de segurança ocorre por meio do PowerShell ou da API REST.

Entre em contato com Suporte da Microsoft quando precisar de um nível mais alto de acesso para solucionar problemas que não são resolvidos por meio de etapas de mediação de alerta. Por meio do suporte, há um método para fornecer acesso de administrador completo temporário ao sistema para operações mais avançadas.

Considerações sobre identidade

Escolher provedor de identidade

Você precisará considerar qual provedor de identidade deseja usar para a implantação de Hub Azure Stack, o Azure AD ou o AD FS. Você não pode alternar provedores de identidade após a implantação sem a reimplantação completa do sistema. se você não possuir a conta do Azure AD e estiver usando uma conta fornecida por sua Provedor de Soluções na Nuvem e se decidir alternar o provedor e usar uma conta diferente do Azure AD, será necessário entrar em contato com seu provedor de soluções para reimplantar a solução para você pelo seu custo.

Sua escolha do provedor de identidade não tem nenhuma influência sobre VMs (máquinas virtuais) de locatário, o sistema de identidade, as contas que eles usam ou se eles podem ingressar em um domínio de Active Directory e assim por diante. Essas coisas são separadas.

você pode implantar vários sistemas de Hub de Azure Stack com o mesmo locatário Azure Active Directory ou Active Directory.

integração de AD FS e Graph

Se você optar por implantar o Hub de Azure Stack usando AD FS como o provedor de identidade, deverá integrar a instância de AD FS no Hub Azure Stack com uma instância de AD FS existente por meio de uma relação de confiança de Federação. Essa integração permite que identidades em uma floresta Active Directory existente sejam autenticadas com recursos no Hub Azure Stack.

você também pode integrar o serviço de Graph no Hub Azure Stack com o Active Directory existente. Essa integração permite que você gerencie o RBAC (controle de acesso Role-Based) no Hub Azure Stack. quando o acesso a um recurso é delegado, o componente Graph pesquisa a conta de usuário na floresta Active Directory existente usando o protocolo LDAP.

o diagrama a seguir mostra AD FS integrado e fluxo de tráfego de Graph.

diagrama mostrando AD FS e Graph fluxo de tráfego

Modelo de licenciamento

Você deve decidir qual modelo de licenciamento deseja usar. As opções disponíveis dependem de se você implantar Azure Stack Hub conectado à Internet:

  • Para uma implantação conectada, você pode escolher o licenciamento pago conforme o uso ou com base na capacidade. O pré-pago exige uma conexão com o Azure para relatar o uso, que é então cobrado por meio do Azure Commerce.
  • Somente o licenciamento baseado em capacidade terá suporte se você implantar desconectado da Internet.

para obter mais informações sobre os modelos de licenciamento, consulte Microsoft Azure o empacotamento e preços do Hub de pilha.

Decisões de nomenclatura

Você precisará pensar em como deseja planejar o namespace do Hub Azure Stack, especialmente o nome da região e o nome de domínio externo. O nome de domínio totalmente qualificado (FQDN) externo de sua implantação de Hub de Azure Stack para pontos de extremidade voltados para o público é a combinação desses dois nomes: <<> . <>> . Por exemplo, East.Cloud.fabrikam.com. Neste exemplo, os portais do Hub Azure Stack estarão disponíveis nas seguintes URLs:

  • https://portal.east.cloud.fabrikam.com
  • https://adminportal.east.cloud.fabrikam.com

Importante

O nome da região que você escolher para a implantação do hub de Azure Stack deve ser exclusivo e aparecerá nos endereços do Portal.

A tabela a seguir resume essas decisões de nomeação de domínio.

Name Descrição
Nome da região O nome do seu primeiro Azure Stack região do Hub. Esse nome é usado como parte do FQDN para os endereços IP virtuais públicos (VIPs) que Azure Stack Hub gerencia. Normalmente, o nome da região seria um identificador de local físico, como um local de datacenter.

O nome da região deve consistir apenas em letras e números entre 0-9. Nenhum caractere especial (como - , # e assim por diante) é permitido.
Nome de domínio externo O nome da zona DNS (sistema de nomes de domínio) para pontos de extremidade com VIPs voltados para o externo. Usado no FQDN para esses VIPs públicos.
Nome de domínio privado (interno) O nome do domínio (e a zona DNS interna) criados no Hub de Azure Stack para gerenciamento de infraestrutura.

Requisitos de certificado

Para a implantação, você precisará fornecer certificados de protocolo SSL (SSL) para pontos de extremidade voltados para o público. Em um alto nível, os certificados têm os seguintes requisitos:

  • Você pode usar um único certificado curinga ou pode usar um conjunto de certificados dedicados e, em seguida, usar caracteres curinga somente para pontos de extremidade, como armazenamento e Key Vault.
  • Os certificados podem ser emitidos por uma autoridade de certificação (CA) pública confiável ou por uma autoridade de certificação gerenciada pelo cliente.

Para obter mais informações sobre quais certificados PKI são necessários para implantar Azure Stack Hub e como obtê-los, consulte requisitos de certificado de infraestrutura de chave pública de Hub Azure Stack.

Importante

As informações de certificado PKI fornecidas devem ser usadas como diretrizes gerais. Antes de adquirir certificados PKI para Azure Stack Hub, trabalhe com seu parceiro de hardware OEM. Eles fornecerão diretrizes e requisitos de certificado mais detalhados.

Sincronização da hora

Você deve escolher um servidor de horário específico que é usado para sincronizar Azure Stack Hub. A sincronização de tempo é essencial para Azure Stack Hub e suas funções de infraestrutura porque ela é usada para gerar tíquetes Kerberos. Os tíquetes Kerberos são usados para autenticar serviços internos entre si.

Você deve especificar um IP para o servidor de sincronização de horário. Embora a maioria dos componentes na infraestrutura possa resolver uma URL, alguns só dão suporte a endereços IP. Se você estiver usando a opção de implantação desconectada, deverá especificar um servidor de horário em sua rede corporativa que você tem certeza de que pode acessar na rede de infraestrutura no Hub Azure Stack.

Importante

Se o servidor de horário não for Windows servidor NTP baseado em Windows, você precisará anexar o ,0x8 final do endereço IP. Por exemplo, 10.1.1.123,0x8.

Conexão Azure Stack Hub para o Azure

Para cenários de nuvem híbrida, você precisará planejar como deseja se conectar Azure Stack Hub ao Azure. Há dois métodos com suporte para conectar redes virtuais no Azure Stack Hub a redes virtuais no Azure:

  • Site a site:uma conexão VPN (rede virtual privada) por IPsec (IKE v1 e IKE v2). Esse tipo de conexão requer um dispositivo VPN ou RRAS (Serviço de Roteamento e Acesso Remoto). Para obter mais informações sobre gateways de VPN no Azure, consulte Sobre o Gateway de VPN. A comunicação nesse túnel é criptografada e segura. No entanto, a largura de banda é limitada pela produtividade máxima do túnel (100-200 Mbps).

  • NAT de saída:por padrão, todas as VMs Azure Stack Hub terão conectividade com redes externas por meio da NAT de saída. Cada rede virtual criada no Azure Stack Hub obtém um endereço IP público atribuído a ela. Se a VM for atribuída diretamente a um endereço IP público ou se está atrás de um balanceador de carga com um endereço IP público, ela terá acesso de saída por meio da NAT de saída usando o VIP da rede virtual. Esse método só funciona para comunicação iniciada pela VM e destinada a redes externas (internet ou intranet). Ele não pode ser usado para se comunicar com a VM de fora.

Opções de conectividade híbrida

Para conectividade híbrida, é importante considerar que tipo de implantação você deseja oferecer e onde ela será implantada. Você precisará considerar se precisa isolar o tráfego de rede por locatário e se terá uma implantação de intranet ou internet.

  • Implantação Azure Stack Hublocatário único: uma implantação Azure Stack Hub que parece, pelo menos de uma perspectiva de rede, como se fosse um locatário. Pode haver muitas assinaturas de locatário, mas, como qualquer serviço de intranet, todo o tráfego percorre as mesmas redes. O tráfego de rede de uma assinatura percorre a mesma conexão de rede que outra assinatura e não precisa ser isolado por meio de um túnel criptografado.

  • Multi-tenant Azure Stack Hub:uma implantação de Azure Stack Hub em que o tráfego de cada assinatura de locatário que está vinculado a redes externas Azure Stack Hub deve ser isolado do tráfego de rede de outros locatários.

  • Implantação deintranet: uma Azure Stack Hub implantação que fica em uma intranet corporativa, normalmente no espaço de endereço IP privado e atrás de um ou mais firewalls. Os endereços IP públicos não são realmente públicos porque não podem ser roteados diretamente pela Internet pública.

  • Implantação daInternet: Azure Stack Hub implantação de rede que está conectada à Internet pública e usa endereços IP públicos de conexões com a Internet para o intervalo vip público. A implantação ainda pode ficar atrás de um firewall, mas o intervalo vip público pode ser diretamente acessível da Internet pública e do Azure.

A tabela a seguir resume os cenários de conectividade híbrida com os prós, contras e casos de uso.

Cenário Método de conectividade Vantagens Desvantagens Bom para
Implantação de Azure Stack Hub único locatário, intranet NAT de saída Largura de banda melhor para transferências mais rápidas. Simples de implementar; nenhum gateway é necessário. Tráfego não criptografado; nenhum isolamento ou criptografia fora da pilha. Enterprise implantações em que todos os locatários são igualmente confiáveis.

Empresas que têm um circuito Azure ExpressRoute para o Azure.
Implantação de Azure Stack Hub multi locatário, intranet VPN site a site O tráfego da VNet do locatário para o destino é seguro. A largura de banda é limitada por túnel VPN site a site.

Requer um gateway na rede virtual e um dispositivo VPN na rede de destino.
Enterprise implantações em que algum tráfego de locatário deve ser protegido de outros locatários.
Implantação da Internet Azure Stack Hub locatário único NAT de saída Largura de banda melhor para transferências mais rápidas. Tráfego não criptografado; nenhum isolamento ou criptografia fora da pilha. Cenários de hospedagem em que o locatário obtém sua própria Azure Stack Hub implantação e um circuito dedicado para o Azure Stack Hub ambiente. Por exemplo, ExpressRoute e MPLS (Multiprotocol Label Switching).
Multi-tenant Azure Stack Hub, implantação da Internet VPN site a site O tráfego da VNet do locatário para o destino é seguro. A largura de banda é limitada por túnel VPN site a site.

Requer um gateway na rede virtual e um dispositivo VPN na rede de destino.
Cenários de hospedagem em que o provedor deseja oferecer uma nuvem multi locatário, em que os locatários não confiam uns nos outros e o tráfego deve ser criptografado.

Usando o ExpressRoute

Você pode se conectar Azure Stack Hub ao Azure por meio do ExpressRoute para cenários de intranet de locatário único e multi locatário. Você precisará de um circuito do ExpressRoute provisionado por meio de um provedor de conectividade.

O diagrama a seguir mostra o ExpressRoute para um cenário de locatário único (em que "Conexão do cliente" é o circuito do ExpressRoute).

Diagrama mostrando o cenário do ExpressRoute de locatário único

O diagrama a seguir mostra o ExpressRoute para um cenário de vários locatários.

Diagrama mostrando o cenário do ExpressRoute multi locatário

Monitoramento externo

Para obter uma exibição única de todos os alertas da implantação e dos dispositivos do Azure Stack Hub e integrar alertas aos fluxos de trabalho existentes do Gerenciamento de Serviços de TI para tíquetes, você pode integrar o Azure Stack Hub com soluções externas de monitoramento de datacenter.

Incluído na solução Azure Stack Hub, o host do ciclo de vida de hardware é um computador fora do Azure Stack Hub que executa ferramentas de gerenciamento fornecidas pelo fornecedor OEM para hardware. Você pode usar essas ferramentas ou outras soluções que se integram diretamente às soluções de monitoramento existentes em seu datacenter.

A tabela a seguir resume a lista de opções disponíveis no momento.

Área Solução de monitoramento externo
Azure Stack Hub software Azure Stack Hub pacote de gerenciamento para Operations Manager
Plug-in do Nagios
Chamadas à API baseadas em REST
Servidores físicos (BMCs via IPMI) Hardware OEM – pacote Operations Manager de gerenciamento do fornecedor
Solução fornecida pelo fornecedor de hardware do OEM
Plug-ins do Nagios do fornecedor de hardware.
Solução de monitoramento com suporte do parceiro do OEM (incluída)
Dispositivos de rede (SNMP) Operations Manager de dispositivo de rede
Solução fornecida pelo fornecedor de hardware do OEM
Plug-in de opção do Nagios
Monitoramento de saúde da assinatura do locatário System Center pacote de gerenciamento para Windows Azure

Observe os seguintes requisitos:

  • A solução usada deve ser sem agente. Não é possível instalar agentes de terceiros dentro de Azure Stack Hub componentes.
  • Se você quiser usar o System Center Operations Manager, Operations Manager 2012 R2 ou Operations Manager 2016 será necessário.

Backup e recuperação de desastres

O planejamento de backup e recuperação de desastre envolve o planejamento da infraestrutura Azure Stack Hub subjacente que hospeda VMs IaaS e serviços de PaaS e para aplicativos de locatário e dados. Planeje essas coisas separadamente.

Proteger componentes de infraestrutura

Você pode fazer o Azure Stack Hub de infraestrutura para um compartilhamento SMB especificado:

  • Você precisará de um compartilhamento de arquivos SMB externo em um servidor de arquivos Windows existente ou em um dispositivo de terceiros.
  • Use esse mesmo compartilhamento para o backup de comutadores de rede e o host do ciclo de vida de hardware. Seu fornecedor de hardware OEM ajudará a fornecer diretrizes para backup e restauração desses componentes porque eles são externos Azure Stack Hub. Você é responsável por executar os fluxos de trabalho de backup com base na recomendação do fornecedor do OEM.

Se ocorrer uma perda catastrófica de dados, você poderá usar o backup de infraestrutura para ressessar dados de implantação, como:

  • Entradas e identificadores de implantação
  • Contas de serviço
  • Certificado raiz da AC
  • Recursos federados (em implantações desconectadas)
  • Planos, ofertas, assinaturas e cotas
  • Política RBAC e atribuições de função
  • Segredo do Cofre de Chaves

Proteger aplicativos de locatário em VMs de IaaS

O Hub de Azure Stack não faz backup de aplicativos e dados de locatário. Você deve planejar a proteção de backup e recuperação de desastre para um destino externo ao Azure Stack Hub. A proteção de locatário é uma atividade controlada por locatário. Para VMs de IaaS, os locatários podem usar tecnologias no convidado para proteger pastas de arquivos, dados de aplicativo e estado do sistema. No entanto, como um provedor corporativo ou de serviço, talvez você queira oferecer uma solução de backup e recuperação no mesmo datacenter ou externamente em uma nuvem.

para fazer backup de VMs IaaS do Linux ou do Windows, você deve usar produtos de backup com acesso ao sistema operacional convidado para proteger o arquivo, a pasta, o estado do sistema operacional e os dados do aplicativo. você pode usar o Backup do Azure, o System Center datacenter Protection Manager ou produtos de terceiros com suporte.

Para replicar dados para um local secundário e orquestrar o failover de aplicativo se ocorrer um desastre, você poderá usar Azure Site Recovery ou produtos de terceiros com suporte. além disso, os aplicativos que oferecem suporte à replicação nativa, como Microsoft SQL Server, podem replicar dados para outro local em que o aplicativo está em execução.

Saiba mais

  • Para obter informações sobre casos de uso, compras, parceiros e fornecedores de hardware OEM, consulte a página do produto Azure Stack Hub .
  • Para obter informações sobre o roteiro e a disponibilidade geográfica para sistemas integrados de Azure Stack Hub, consulte o white paper: Hub de Azure Stack: uma extensão do Azure.

Próximas etapas

Modelos de conexão de implantação de Hub Azure Stack